Прошло то время, когда владельцы компьютеров от Apple могли похвастать безопасностью своих девайсов, и тем, что операционная система macOS более защищена от вирусов, чем Windows. Да, сегодня многим стало понятно, что для macOS не писали вирусы, трояны и лоадеры, потому что это было невыгодно. Компьютеров Apple было крайне мало, эта операционка имела распространение дай бог несколько процентов, да и пользовались ими в основном творческие люди, никакой финансовой информации оттуда добывать было бесполезно, её там не было.
Новое время, новые вирусы
Но время идёт, продукция купертиновского технологического гиганта становится всё более доступной, даже в бюджетном сегменте появляются модели. Распространение ОС увеличивается, и вирусописателям стал этот сегмент интересен. И вдруг о безопасности macOS, о том, что это непробиваемая для вирусов система, громкие разговоры перешли в шёпот, или вообще прекратились.
Так, специалисты компании Check Pointвыявили новый тип вредоносного программного обеспечения, который назвали XLoader. Этот вредонос получил базу от довольно распространённого Windows-вируса Formbook, при этом зловред стал более функциональным, теперь он поддерживает и macOS. Работает этот вирус как троян – ворует конфиденциальные данные.
Экскурс в эпоху Formbook
Пять лет назад была обнаружена новая шпионская программа, названная Formbook. Тип этого зловреда «инфостилеры», эти утилиты заточены на то, чтобы собирать учётные записи из браузеров, делать скриншоты экрана, когда пользователь работает с экранной клавиатурой, отслеживать нажатие клавиш клавиатуры, запускать файлы, скачанные с администраторского сервера. Formbook написан на языке C, есть вставки более низкого языка ассемблер. Код хорошо запутан, что затрудняет его распознавание как вредоносного программного обеспечения.
Распространялся троян среди злоумышленников в двух вариантах:
- В первом случае полностью исполняемый файл, а также все файлы административной панели (для управления трояном) передавался покупателю за сумму от трёх до пяти тысяч долларов. Его покупатель мог устанавливать на свой сервер или сразу на несколько.
- Во втором варианте администраторская панель находилась на сервере продавца, давался только исполняемый файл для прогрузки его на компьютеры жертв. Покупатель оформлял подписку, и за $60\мес. Использовал всё, что троян присылал в админку (логи, скриншоты и прочее).
В течение нескольких лет троян в связке с эксплойтом стал одним из самых распространённых зловредов, обогнав прежние творения вирусописателей. В прошлом году трояном Formbook было заражено более 4 процентов организаций во всём мире. Сегодня он занимает третье место в рейтинге программ для совершения кибератак на сервера различных организаций. Продажи программы прекратились, когда покупатели начали использовать троян в качестве программного спамера, что очень быстро отслеживалось и пресекалось спецслужбами. Зловред начал быстро «палиться» антивирусами, и его криптование стало невыгодным.
XLoader
В начале 2020 года появился преемник Formbook, который получил название XLoader. Исходный код обеих программ имеет одну основу, однако новинка удивила специалистов тем, что получила поддержку macOS. Кроме того, код программы усложнился, появилось множество дополнительных функций, в том числе для сокрытия собственной деятельности. Появилась полиморфоность, он создаёт изменённые копии самого себя, и удалить его бывает непросто, ведь если обнаружена одна версия, это не значит, что в системе не прописано с десяток изменённых версий этого трояна.
Кроме того, даже сетевые фильтры не сразу распознают эту программу, поскольку для запутывания антивирусных программных комплексов, троян генерирует трафик на самые разные сайты, на выборочные, в том числе официальные, надёжные. Из 90 тысяч адресов, на которые программа шлёт данные, только чуть более тысячи являются реальными серверами с административной панелью. Средства безопасности нередко не могут отличить легальные ресурсы от серверов злоумышленников, либо на это уходит очень много времени.
Разработчики этого трояна не продают исходники, работают только по подписке. Клиентам предлагается Windows-версия трояна за $60\мес., и macOS-версия на 10 долларов дешевле.
Насколько распространён XLoader
С декабря прошлого года и по июнь текущего, оба трояна отправляли данные с компьютеров жертв почти в 70 стран мира, большая часть жертв из США. На российских компьютерах тоже установлено достаточно троянов, и оттуда идут данные, но доля их мала, всего три процента от всех заражённых XLoader.
Эксперты в области защиты от кибератак утверждают, что операционная система от Apple догоняет детище от Майкрософт в плане распространённости вредоносного ПО. Троянов, вирусов и эксплойтов под эту ОС с каждым годом становится больше, функциональность их возрастает, пробиваемость (заражаемость) также растёт. И никакие хвалённые внутренние службы безопасности системы не работают, когда хакеры действительно заинтересовались твоей операционной системой.
Разрыв ещё существует, между этими популярными ОС, однако он всё быстрее сокращается. Чем больше будут распространяться компьютеры от Apple, тем больше будет вредоносного ПО для них создаваться вирусописателями. На данный момент только известных вирусов и троянов под macOS скакнуло почти на 1100 процентов, и сейчас насчитывается около 680 тысяч образцов.
Обусловлена эта волна зловредов тем, что яблочная ОС становится всё более популярной и распространённой, на этих компьютерах всё больше становится интересной для злоумышленников информации, в том числе банковской. Теперь пользователям этой продукции тоже придётся заботиться о безопасности системы, как пользователям Windows.
Загрузка...